pam,console和用户控制 如果shell设为/sbin/nologin,该帐号无法登岸,可用/etc/nologin.txt进行信息提醒 pam: /etc/pam.d pam的说明 /etc/pam.d/* 目次里的文件是各个同名命令的pam控制文件,其结构为: 类型 标志 模块 PAM的证验类型:auth, account, session,password PAM的控制标志: required,无论乐成败绩,都接续进行后面的证验流程 requisize,败绩退出,乐成接续 sufficient,乐成退出,败绩接续 optional,用作显示讯息,不用于证验 include,调用其它的PAM证验结构 w或who:显示系统上的在线用户 last:本月或系统建立后每天用户的登岸情况 lastlog:/etc/passwd中各帐号的最后登岸情况,参考记录文档为/var/log/lastlog write 用户名 [终端名] :进入子bash进行对话,可用mesg n/y来设定打开/关闭提醒 wall "消息":给所有效户广播消息 mail user@host -s "subject",也可mail 用户 -s 主题# start on control-alt-delete这行 删去console用户可以执行的管理员命令,比如不可关机,删去 /etc/security/console.apps/ 目次中的文件即可 例:rm -f /etc/security/console.apps/{poweroff, halt, reboot} 定义console的范围: /etc/security/console.perms 文件中可定义某个终端属于console范围 例: =tty[0-9][0-9]* vc/[0-9][0-9]* :[0-9]\.[0-9] :[0-9] /dev/ttyS1 定义console用户可用的设备: /etc/security/console.perms.d/50-default.perms 文件是系统默认 不用修改该文件,可自建立个 51-default.perms 来笼罩该文件,数字要大于50 例: 增加设备 =/dev/scanner /dev/sub/scanner* 增加设备权限 0600 0600 root (其意思为console用户登岸时拥有扫描仪0600的权限,在用户logout后,扫描仪的所有都酿成root,权限变为0600) 增加console用户可用的命令: /etc/security/console.apps.d/ 1)命令要在/sbin 和/usr/sbin 目次中,如果不在作个link, 例:ln -s 源命令 /sbin/foo 2)在/etc/security/console.apps.d/ 目次中建个同名空文件, 例: touch /etc/security/console.apps.d/foo 3)在/etc/pam.d/ 目次中建个同名的pam规则文件,可复制已有文件内容, 例: cp /etc/pam.d/halt /etc/pam.d/foo 4)如果想要开始使用pam_timestamp功能,可从/etc/pam.d/system-config-* 的文件中复制下列行 auth include config-util , account include config-util , session include config-util 到想要开始使用的pam文件,注意上面所说的行要在 auth sufficient , session optional 的后面 如果console用户无法访问磁盘,可用 gpasswd -a fred floppy 命令给用户fred增加 floppy 组就可解决 选PAM加药装置请认准上海龙亚品牌,O21-6l57088,6l557288。龙亚PAM加药装置——一次购买,终身无忧。O(∩_∩)O~。
|
